Switch VLAN dynamique - Configuration du serveur RADIUS pour l'attribution dynamique de VLAN

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Cher client, veuillez noter que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Il est possible que certains passages ne soient pas traduits avec précision. Si vous avez des questions ou constatez des incohérences concernant l'exactitude des informations dans la version traduite, veuillez consulter l'article original ici :Version originale

L'attribution dynamique de VLAN sépare et isole les appareils dans différents segments de réseau en fonction de l'autorisation de l'appareil ou de l'utilisateur et de leurs caractéristiques.

 

Scénario et topologie

Configuration Switch

Configuration de NPS sur Windows Server 2019

Vérification

 

Scénario et topologie

mceclip0.png

Dans la plupart des réseaux, les administrateurs peuvent être amenés à restreindre l'accès à divers périphériques réseau pour des raisons de sécurité.

Une méthode courante pour mettre en place ce type de restriction réseau consiste à utiliser des attributions de VLAN statiques. Les administrateurs créent donc des VLAN et configurent le numéro de VLAN correspondant à chaque port switch en mode d'accès. À l'inverse, pour l'attribution dynamique de VLAN, l'administrateur n'a qu'à définir le port switch comme port trunk et port fixe, et à définir quelques politiques sur le serveur RADIUS. Cela allège considérablement la charge de travail de l'administrateur réseau.

L'objectif de ce guide de configuration est de présenter toutes les étapes nécessaires pour configurer l'attribution dynamique de VLAN à la fois sur le switch et sur le serveur RADIUS.

 

Configuration

Les étapes suivantes s'appliquent aux switch prenant en charge l'authentification composite. Les switch pris en charge sont les modèles GS2220 et XGS2210 en mode autonome et couplés à un serveur RADIUS (Windows Server 2019).

 

Configuration du Switch

  • Configurez l'adresse IP RADIUS, le secret partagé et les paramètres AAA dans :
Application avancée > AAA > Configuration du serveur RADIUS et configuration AAA

mceclip1.png

  • Configurez 802.1x, l'authentification MAC et le VLAN invité, ainsi que l'authentification composée sur le port client sous
Application avancée > Authentification du port

mceclip2.png

  • Conservez le mode d'authentification composite sur « strict » pour le port client

 

Configurez NPS sur Windows Server 2019

Ouvrez le Serveur de stratégies réseau et cliquez avec le bouton droit sur Clients RADIUS > Nouveau pour configurer le nom convivial, l'adresse IP et le secret partagé.

mceclip3.png

 

Configurer les stratégies de demande de connexion (CRP)

  • Cliquez avec le bouton droit surCRP > Nouveau
  • Spécifiez le nom de la stratégie CRP
  • Spécifiez les conditions

Nous vous recommandons d'utiliser l'identifiant NAS (nom d'hôte du périphérique) et l'adresse IPv4 du NAS si vous n'êtes pas familier avec cette page. De plus, si vous prévoyez d'ajouter un grand nombre de périphériques aux clients RADIUS, vous pouvez utiliser le symbole * pour éviter d'ajouter de nombreuses conditions à une CRP, par exemple « GS22* » ou « 192.168* ».

mceclip4.png

  • Spécifiez le transfert des demandes de connexion > Suivant
  • Spécifiez les méthodes d'authentification > Suivant
  • Configurer les paramètres > Suivant
  • Vérifiez tout ce que vous venez de configurer, puis cliquez sur Terminer.

 

Configurer les stratégies réseau

  • Cliquez avec le bouton droit sur Stratégies réseau > Nouveau
  • Spécifiez le nom de la stratégie réseau
  • Spécifiez les conditions > Ajouter > choisissez Groupes Windows

mceclip5.png

  • Spécifiez les autorisations d'accès > Suivant
  • Configurer les méthodes d'authentification

mceclip6.png

  • Configurer les contraintes > Suivant
  • Configurer les paramètres.

mceclip7.png

  • Vérifiez toutes vos configurations, puis cliquez sur Terminer.



 

Configurer un compte utilisateur/appareil sur Windows Server 2019

  • Ouvrez Utilisateurs et ordinateurs Active Directory
  • Cliquez avec le bouton droit sur le domaine > Nouveau > Utilisateur
  • Créez des comptes pour l'authentification 802.1x et MAC

     

Remarque :pour les utilisateurs soumis à l'authentification MAC, le nom de connexion de l'utilisateur doit être renseigné exactement au même format que celui défini sur la page d'authentification MAC switch.

mceclip8.png

  • De plus, le mot de passe de l'utilisateur doit également correspondre au paramètre switch.

mceclip9.png

Vérification

  • Le client réussit l'authentification combinée ; il obtient l'adresse IP du VLAN de données

mceclip10.png

  • Le client échoue à l'authentification combinée ; il obtient l'adresse IP du VLAN Invité

mceclip11.png

Remarque :
 

  1. Assurez-vous que le serveur DHCP fonctionne correctement sur le réseau.
  2. L3 switch doit activer le relais DHCP intelligent et pointer vers le serveur DHCP.
  3. Si votre serveur NPS est installé dans une machine virtuelle et que le service NPS ne fonctionne pas bien qu'il soit en cours d'exécution, vous devez ARRÊTER puis REDÉMARRER le service NPS.

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 3 sur 4
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.